[AWS] Bastion, NAT Instance, NAT Gateway

내부 사설망에서 외부로 안전하게 통신하기 위해 Bastion, NAT Instance, NAT Gateway 를 사용한다.

배스천 호스트(Bastion Host)란 침입 차단 소프트웨어가 설치되어 내부와 외부 네트워크 사이에서 일종의 게이트 역할을 수행하는 호스트

[란] Bastion host 란?

배스천 호스트(Bastion Host)란 침입 차단 소프트웨어가 설치되어 내부와 외부 네트워크 사이에서 일종의 게이트 역할을 수행하는 호스트 배스천 호스트는 내부 네트웍과 외부 네트웍 사이에 위치

velog.io

NAT 게이트웨이는 NAT(네트워크 주소 변환) 서비스. 프라이빗 서브넷의 인스턴스가 VPC 외부의 서비스에 연결할 수 있지만 외부 서비스에서 이러한 인스턴스와의 연결을 시작할 수 없도록 NAT 게이트웨이를 사용할 수 있습니다. AWS

NAT 게이트웨이에는 두 가지 유형이 있다.

Public 은 외부에서 내부로 접근을 막고, 내부에서 외부로 나가는 트래픽만 허용하는 목적으로 사용한다. 탄력적 IP(Public IP) 가 필요하다.

Private 은 내부에서 또 다른 내부(타 VPC, 온프레미스)과 연결되도록 한다. 탄력적 IP를 할당할 수 없다. Private NAT 게이트웨이에서 인터넷 게이트웨이로 트래픽이 가도록 설정을 할 순 있지만, 인터넷 게이트웨이에서 해당 트래픽은 자동 삭제한다.

- 가용성: 고가용성. 각 가용 영역의 NAT 게이트웨이는 중복적으로 구현됩니다. 각 가용 영역에 하나의 NAT 게이트웨이를 만들어 아키텍처가 영역에 종속되지 않도록 합니다.

- 대역폭: 최대 45Gbps 까지 확장합니다.

- 유지관리: AWS 에선 유지 관리 작업을 따로 수행할 필요가 없습니다.

- 성능: 소프트웨어가 NAT 트래픽 처리에 최적화되어 있습니다.

- 비용: 사용하는 NAT 게이트웨이 수, 사용 기간, NAT 게이트웨이를 통해 보내는 데이터의 양에 따라 요금이 청구됩니다.

- 유형 및 크기: 균일하게 제공되므로, 유형 또는 크기를 결정할 필요가 없습니다.

- 가용성: 스크립트를 사용하여 인스턴스 간의 장애 조치를 관리합니다.

- 대역폭: 인스턴스 유형의 대역폭에 따라 다릅니다.

- 유지 관리: 사용자가 관리합니다. 인스턴스에 소프트웨어 업데이트 또는 운영 체제 패치 설치

- 성능: NAT을 수행하도록 구성된 일반 AMI 입니다.

- 비용: 사용하는 NAT 인스턴스 수, 사용 기간, 인스턴스 유형과 크기에 따라 요금이 청구됩니다.

- 유형 및 크기: 예상 워크로드에 따라 적합한 인스턴스 유형과 크기를 선택합니다.

비교

- NAT 게이트웨이는 따로 시큐리티 그룹이나 트래픽량 등을 고려할 필요가 없이 만들기도 편하고, 관리가 편하다

- 하지만 편리한만큼 NAT 인스턴스가 비용이 더 저렴하다. (상황에 따라 다르겠지만)

NAT 인스턴스 생성 방법

- 커뮤니티 AMI 중에 NAT 전용 AMI 가 존재한다.

- EC2를 생성한 후, 네트워크 설정에서 소스/목적지 확인 중지 체크를 한다. NAT 인스턴스는 목적지/출발지가 아니라도 트래픽을 흘려보내야 하기 때문이다.

- NAT 인스턴스에 속하는 서브넷에 연결된 라우팅 테이블에 목적지 0.0.0.0/0 이라면 목적지를 NAT 인스턴스로 설정한다.

NAT 게이트웨이 생성 방법

- VPC 콘솔에서 NAT 게이트웨이 메뉴에서 생성을 한다.

- 연결할 public 서브넷을 선택해서 생성한다

- private 서브넷 라우팅 테이블에 목적지가 0.0.0.0/0 일 때, NAT 게이트웨이로 가도록 설정한다.

티스토리툴바